文/張四海 林初建

針對高校智慧校園建設(shè)需要，在分析比較當(dāng)前主流業(yè)務(wù)承載技術(shù)的基礎(chǔ)上，以防火墻安全域結(jié)合VLAN技術(shù)，基于虛擬化構(gòu)建出一個專用的多業(yè)務(wù)融合承載網(wǎng)絡(luò)，用于支撐不同場景下的校園智能化業(yè)務(wù)系統(tǒng)運行。

隨著高校智慧校園建設(shè)的進(jìn)一步推進(jìn)和深化，智能化業(yè)務(wù)系統(tǒng)逐漸成為高校教學(xué)科研、生活辦公、校務(wù)管理的重要基礎(chǔ)支撐手段，其規(guī)模和應(yīng)用水平在一定程度上衡量著高校信息化發(fā)展的水平和能力。在南開大學(xué)智慧校園建設(shè)過程中，共規(guī)劃了十余個需要通過專用網(wǎng)絡(luò)支撐的智能化業(yè)務(wù)系統(tǒng)，根據(jù)其功能作用大體可以分為以下幾類：教學(xué)科研支撐類、安全監(jiān)控類、生活服務(wù)類、通道門禁類、樓宇自控類、協(xié)同辦公類以及財務(wù)結(jié)算類。

不同業(yè)務(wù)系統(tǒng)提出了不同的隔離和承載要求，比如視頻監(jiān)控系統(tǒng)不僅需要大量存儲視頻文件，同時安防監(jiān)控中心又有實時調(diào)取攝像頭視頻的需求，視頻存儲和實時調(diào)取對帶寬的要求也不同。面對高校環(huán)境中復(fù)雜的業(yè)務(wù)系統(tǒng)，單一的承載手段無法支撐多樣化的應(yīng)用，需要根據(jù)實際應(yīng)用場景提供多樣化的業(yè)務(wù)承載能力。

本文結(jié)合南開大學(xué)智慧校園建設(shè)實際需求，在高性能網(wǎng)絡(luò)安全體系的支撐下，在用戶數(shù)據(jù)校園網(wǎng)之外獨立構(gòu)建了一個跨校區(qū)的多業(yè)務(wù)融合承載網(wǎng)，以支持多種需要網(wǎng)絡(luò)支撐的智能化業(yè)務(wù)系統(tǒng)，并實現(xiàn)了各業(yè)務(wù)系統(tǒng)跨校區(qū)的互聯(lián)與互通。

技術(shù)路線比較與選擇

通常情況下，可以選擇兩種不同的技術(shù)路線構(gòu)建承載網(wǎng)絡(luò)，一種方式是為每個業(yè)務(wù)系統(tǒng)構(gòu)建一個專用的物理承載網(wǎng)，另一種方式是在一個通用的網(wǎng)絡(luò)上為各個業(yè)務(wù)系統(tǒng)構(gòu)建邏輯承載網(wǎng)，也就是所謂的多業(yè)務(wù)融合承載。

物理專網(wǎng)承載

通過物理專用網(wǎng)絡(luò)承載業(yè)務(wù)系統(tǒng)，即為每一個業(yè)務(wù)構(gòu)建一套私有支撐網(wǎng)絡(luò)，包括獨立的通訊鏈路以及網(wǎng)絡(luò)設(shè)備。

物理專網(wǎng)的優(yōu)點在于對業(yè)務(wù)的隔離是絕對的隔離，不同物理網(wǎng)絡(luò)之間不能以直接或間接的方式相連接，可以為業(yè)務(wù)系統(tǒng)起到最高級別的隔離保護(hù)【1】。同時物理專網(wǎng)的帶寬和設(shè)備只服務(wù)于所承載的業(yè)務(wù)系統(tǒng)，一般情況不會存在帶寬和流量的瓶頸問題，也不會受到其他業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)整體負(fù)載的影響。

但對于大多數(shù)業(yè)務(wù)系統(tǒng)來講，流量模型較為固定，流量遠(yuǎn)遠(yuǎn)達(dá)不到需要一套專用網(wǎng)絡(luò)的程度；在高校的現(xiàn)實條件下，業(yè)務(wù)部門自身信息化技術(shù)力量有限，當(dāng)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)發(fā)生故障時，仍需要信息化職能部門介入維護(hù)；部分專用業(yè)務(wù)系統(tǒng)仍借助校園網(wǎng)進(jìn)行管理，需要校園網(wǎng)提供接入。同時，為智能化業(yè)務(wù)系統(tǒng)獨立組建大量專用物理網(wǎng)絡(luò)，必將使校園網(wǎng)變得越來越復(fù)雜，背離了把智能化業(yè)務(wù)系統(tǒng)從校園網(wǎng)（公眾部分）剝離并簡化管理的初衷，給維護(hù)工作帶來不必要的困難。

因此，為每個智能化業(yè)務(wù)系統(tǒng)構(gòu)建獨立的物理承載網(wǎng)，不論從建設(shè)成本、網(wǎng)絡(luò)復(fù)雜程度還是后期維護(hù)來講，都不再是一種經(jīng)濟(jì)的選擇。

多業(yè)務(wù)融合承載

通過構(gòu)建邏輯網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)承載和隔離，通常的做法是在一個統(tǒng)一的IP網(wǎng)絡(luò)上，劃分出多個邏輯上相互獨立、相互隔離的業(yè)務(wù)專用網(wǎng)絡(luò)，實現(xiàn)不同業(yè)務(wù)的安全統(tǒng)一承載，目前主要有虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)、多協(xié)議標(biāo)簽交換(Multi-Protocol Label Switching，MPLS)虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)。

1.傳統(tǒng)的VLAN

VLAN技術(shù)在數(shù)據(jù)鏈路層對網(wǎng)絡(luò)進(jìn)行邏輯隔離，形成虛擬的子網(wǎng)，從而隔離在虛擬子網(wǎng)上運行的業(yè)務(wù)系統(tǒng)。VLAN子網(wǎng)之間的通訊，需要借助路由器或路由模塊進(jìn)行三層（即OSI參考模型的網(wǎng)絡(luò)層，下同）轉(zhuǎn)發(fā)。通過VLAN結(jié)合訪問控制列表（Access Control List, ACL）和路由過濾，可以在IP網(wǎng)絡(luò)層（或數(shù)據(jù)鏈路層）進(jìn)行業(yè)務(wù)的隔離，實現(xiàn)網(wǎng)絡(luò)資源的整合和統(tǒng)一管理，是一種比較傳統(tǒng)的業(yè)務(wù)承載和隔離方式。

由于ACL和路由過濾配置復(fù)雜，實施難度大，特別是在多個三層核心交換設(shè)備的網(wǎng)絡(luò)中，在采用有效措施對其進(jìn)行簡化之前，容易發(fā)生錯誤，因此一定程度上缺乏落地部署的可實施性。在智能化業(yè)務(wù)系統(tǒng)較少的智慧校園建設(shè)初期，可以采用在校園網(wǎng)上以VLAN結(jié)合ACL和路由過濾方式進(jìn)行業(yè)務(wù)承載和隔離，但隨著業(yè)務(wù)系統(tǒng)的增多，會使網(wǎng)絡(luò)配置變得復(fù)雜并難以控制。

2.MPLS VPN

圖1 MPSL VPN網(wǎng)絡(luò)結(jié)構(gòu)

MPLS VPN是一種基于MPLS的VPN解決方案，利用標(biāo)簽交換技術(shù)，通過標(biāo)記交換路徑(Label Switching Path,LSP)實現(xiàn)多點到多點的連接，MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。在MPLS VPN網(wǎng)絡(luò)中，骨干網(wǎng)核心(Provider，P)路由器以標(biāo)簽交換方式轉(zhuǎn)發(fā)報文，在骨干網(wǎng)邊緣(Provider Edge,PE)路由器上創(chuàng)建虛擬路由器虛擬路由轉(zhuǎn)發(fā)表(Virtual Routing Forwarding，VRF)，PE設(shè)備通過VRF三層接口連接用戶網(wǎng)絡(luò)邊緣(Custom Edge,CE)路由器，由CE負(fù)責(zé)用戶站點的接入【2】。VPN成員在VRF上定義，是由不同站點組成的集合，屬于同一VPN的站點具有IP連通性，從而達(dá)到業(yè)務(wù)承載的目的，VPN站點之間可以根據(jù)業(yè)務(wù)需要進(jìn)行有控制的互聯(lián)或隔離【3】。

MPLS VPN 提供了數(shù)據(jù)、語音和視頻等多種業(yè)務(wù)相融合的能力，是目前電信運營商所普遍采用的多業(yè)務(wù)融合承載方式，可以以較低的成本靈活實現(xiàn)各種場景的業(yè)務(wù)支撐。

如同所有管理型共享網(wǎng)絡(luò)，MPLS沒有解決普遍存在的對受保護(hù)的網(wǎng)元的非法訪問和內(nèi)部攻擊等安全問題【4】。基于相對簡單的CE 與PE 路由器的路由，在處理復(fù)雜的路由情況時可能會具有一定難度。另外，如MPLS VPN 對路由的依賴度比普通IP網(wǎng)絡(luò)更高，MPLS 的標(biāo)記交換機(jī)制給路由和轉(zhuǎn)發(fā)之間引入了新一層的間接性，會導(dǎo)致MPLS VPN 路由層面的故障難以分析和排除【5】。單一的CE設(shè)備的故障可能導(dǎo)致錯誤的路由信息，影響PE甚至網(wǎng)絡(luò)整體服務(wù)的穩(wěn)定性。

對用戶而言，MPLS雖然可以快速進(jìn)行業(yè)務(wù)的部署，但對于運營者來說，在客觀上存在一定程度的管理難度，尤其在高校信息化建設(shè)職能部門人員編制普遍緊缺的情況下，需要付出很大的管理成本。

承載網(wǎng)構(gòu)建與部署

南開大學(xué)業(yè)務(wù)承載網(wǎng)絡(luò)的構(gòu)建，基于承載業(yè)務(wù)網(wǎng)絡(luò)流量模型相對固定的原理，采用扁平化的網(wǎng)絡(luò)總體架構(gòu)，通過“業(yè)務(wù)接入層-高密匯聚層-核心網(wǎng)絡(luò)層”三級“大二層”結(jié)構(gòu)，利用虛擬化技術(shù)，全冗余鏈路設(shè)計，構(gòu)建出一個高可用、可靠、安全及可擴(kuò)展的多業(yè)務(wù)融合承載體系，并針對各種不同業(yè)務(wù)系統(tǒng)的應(yīng)用場景，靈活提供不同的業(yè)務(wù)承載和隔離方案。

構(gòu)建原則

1.高可用性原則

隨著智能化業(yè)務(wù)系統(tǒng)的增多，網(wǎng)絡(luò)流量越來越大，高帶寬支持的業(yè)務(wù)系統(tǒng)比如視頻監(jiān)控等應(yīng)用會耗費大量帶寬，無序競爭或者粗放管理無法保障網(wǎng)絡(luò)服務(wù)質(zhì)量，因此需要規(guī)范、控制業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)資源的占用，需要為不同實際需求和應(yīng)用場景規(guī)劃不同的承載方式。

2.高安全性原則

不同業(yè)務(wù)系統(tǒng)之間必須實現(xiàn)有效的隔離，針對需求實現(xiàn)有效的安全分區(qū)，進(jìn)行有效的安全防護(hù)和管理，同時在業(yè)務(wù)安全方面，通過安全策略有效防止惡意攻擊和病毒防范。

3.高可靠性原則

需要保證高可靠性的數(shù)據(jù)傳輸通道，因鏈路或設(shè)備故障導(dǎo)致網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時，承載網(wǎng)絡(luò)整體應(yīng)不受線路故障和網(wǎng)絡(luò)拓?fù)渥兓挠绊懀ＷC業(yè)務(wù)系統(tǒng)的正常運行。

4.可擴(kuò)展性原則

可以滿足多種智能化業(yè)務(wù)系統(tǒng)的接入，快速實現(xiàn)新業(yè)務(wù)的落地部署，滿足不同應(yīng)用場景的業(yè)務(wù)系統(tǒng)開通。

部署方案

1.全冗余基礎(chǔ)架構(gòu)

南開大學(xué)多業(yè)務(wù)融合承載網(wǎng)結(jié)合虛擬化技術(shù)，在網(wǎng)絡(luò)架構(gòu)的各層次均采取了全冗余構(gòu)建方式，全面實現(xiàn)業(yè)務(wù)的安全可靠承載，如圖2所示。

業(yè)務(wù)接入層。在業(yè)務(wù)接入層，南開大學(xué)八里臺校區(qū)采用單體樓作為一個接入單元，津南校區(qū)按照綜合布線規(guī)范把單體樓劃分為多個接入單元(網(wǎng)格)，分別匯聚各自范圍內(nèi)的各業(yè)務(wù)系統(tǒng)信息點。業(yè)務(wù)接入層采用全千兆高性能交換機(jī)，全面保障接入能力，滿足業(yè)務(wù)系統(tǒng)終端的高速接入需求；同時通過堆疊虛擬化為單一邏輯設(shè)備，簡化管理。

圖2 南開大學(xué)多業(yè)務(wù)融合承載網(wǎng)拓?fù)浣Y(jié)構(gòu)

圖3 基于安全域與VLAN的業(yè)務(wù)承載與隔離

高密匯聚層。在匯聚層，根據(jù)南開大學(xué)教學(xué)辦公樓宇的地理分布，采用了高密度、高性能數(shù)據(jù)中心交換機(jī)，通過堆疊技術(shù)，在八里臺校區(qū)構(gòu)建出1個高密虛擬化組，在津南校區(qū)構(gòu)建出7個高密虛擬組，分別匯聚來自樓宇機(jī)房（網(wǎng)格）業(yè)務(wù)接入層的鏈路，并以二層方式轉(zhuǎn)發(fā)業(yè)務(wù)系統(tǒng)的流量。

核心網(wǎng)絡(luò)層。核心網(wǎng)絡(luò)層采用了兩臺多業(yè)務(wù)安全網(wǎng)關(guān)作為承載網(wǎng)核心設(shè)備和各業(yè)務(wù)系統(tǒng)終端的三層網(wǎng)關(guān)，分別部署于八里臺校區(qū)與津南校區(qū)。在部署上，采用SCF通過多路裸光纖把兩臺機(jī)框及板卡虛擬成一臺邏輯設(shè)備，在不增加管理復(fù)雜度的基礎(chǔ)上實現(xiàn)了高可靠性，保證了設(shè)備的冗余和高可用，并通過在核心上配置安全域形式實現(xiàn)不同業(yè)務(wù)間的安全隔離。

網(wǎng)絡(luò)整體“業(yè)務(wù)接入層-高密匯聚層-核心網(wǎng)絡(luò)層”的連接全部采用冗余鏈路互聯(lián)，不同物理鏈路分別連接至不同的物理設(shè)備或板卡，形成全方位冗余，任一高密設(shè)備或核心設(shè)備板卡發(fā)生硬件停機(jī)故障的情況下，仍可保證整體網(wǎng)絡(luò)的正常運行。

2.基于安全域和VLAN的業(yè)務(wù)承載和隔離

在業(yè)務(wù)承載網(wǎng)的邏輯架構(gòu)上，借助了防火墻安全域之間缺省配置下相互隔離的特點，每個智能化業(yè)務(wù)系統(tǒng)分配一個安全域，并根據(jù)業(yè)務(wù)系統(tǒng)的規(guī)模與實際需求，在同一個安全域內(nèi)再次通過VLAN的方式來隔離廣播域，從而實現(xiàn)業(yè)務(wù)的承載和隔離，如圖3所示。不同業(yè)務(wù)系統(tǒng)之間如有相互訪問的需求，則通過設(shè)置域間ACL的方式來實現(xiàn)細(xì)粒度的互訪。

3.基于場景的業(yè)務(wù)承載

第一，三層承載場景。大多數(shù)智能化業(yè)務(wù)系統(tǒng)均需要通過三層進(jìn)行承載，比如一卡通、門禁、儀器共享平臺等，終端分布于學(xué)校各教學(xué)辦公樓宇。三層承載主要根據(jù)其終端的數(shù)量、地理分布和未來發(fā)展需求，為各業(yè)務(wù)系統(tǒng)各構(gòu)建安全域，并為安全域分別劃分一個或多個二層VLAN或三層接口。在需要互相訪問的業(yè)務(wù)系統(tǒng)之間，通過ACL來實現(xiàn)互訪。

第二，二層承載場景。通過二層承載的業(yè)務(wù)系統(tǒng)主要有合作銀行在校內(nèi)的對賬結(jié)算以及醫(yī)保報銷等系統(tǒng)。銀行結(jié)算和醫(yī)保報銷是公共服務(wù)在高校內(nèi)的延伸，其網(wǎng)絡(luò)自成體系，系統(tǒng)的接口或網(wǎng)關(guān)IP地址的配置和控制掌握在銀行和醫(yī)保管理單位自身的技術(shù)部門，一般僅通過二層VLAN的方式進(jìn)行承載和數(shù)據(jù)對接。

第三，二層、三層混合承載場景。校園視頻監(jiān)控系統(tǒng)是二、三層混合承載的典型應(yīng)用場景。視頻監(jiān)控系統(tǒng)在安防監(jiān)控中心實時調(diào)度各監(jiān)控區(qū)域視頻的同時，需要把監(jiān)控視頻資料不間斷存儲到永久物理介質(zhì)以備檢索。校園視頻監(jiān)控攝像頭在校園中分布廣、數(shù)量多，對帶寬要求高，如果完全通過核心設(shè)備進(jìn)行轉(zhuǎn)發(fā)，會影響到核心設(shè)備的性能，進(jìn)而影響到網(wǎng)絡(luò)整體對其他業(yè)務(wù)的服務(wù)質(zhì)量。在視頻監(jiān)控系統(tǒng)承載的方案設(shè)計上，采用了二層、三層混合的方式，視頻的統(tǒng)一調(diào)度及實時監(jiān)控的攝像頭數(shù)量較為有限，流量較小，且需要輪詢調(diào)度分布在校園各處的攝像頭，采用三層進(jìn)行轉(zhuǎn)發(fā)。而對于視頻的存儲，則以二層VLAN方式直接在高密匯聚層（各組團(tuán)匯聚交換機(jī)虛擬組）把流量轉(zhuǎn)發(fā)給存儲陣列，避免存儲流量上升到三層核心進(jìn)行轉(zhuǎn)發(fā)，降低核心設(shè)備負(fù)載。

基于安全域與VLAN技術(shù)構(gòu)建專用的多業(yè)務(wù)融合承載網(wǎng)，在物理上分離了校園網(wǎng)公眾部分（傳統(tǒng)的數(shù)據(jù)網(wǎng)）與業(yè)務(wù)系統(tǒng)專用部分（一般稱為管理網(wǎng)或設(shè)備網(wǎng)）；通過同一個物理網(wǎng)絡(luò)實現(xiàn)了資源整合，便于合理、充分地利用網(wǎng)絡(luò)設(shè)備和帶寬，提升訪問速度和服務(wù)質(zhì)量；全冗余構(gòu)建方式，保證了鏈路通暢和數(shù)據(jù)安全性；并為各類業(yè)務(wù)系統(tǒng)提供符合其需求的場景化網(wǎng)絡(luò)接入環(huán)境，在一個網(wǎng)絡(luò)、一套系統(tǒng)實現(xiàn)了多種業(yè)務(wù)的有機(jī)融合承載，有效降低維護(hù)成本，能夠方便地新增系統(tǒng)或擴(kuò)大規(guī)模；多業(yè)務(wù)融合的承載能力，將為高校教學(xué)科研、生活辦公以及校務(wù)管理提供全面的基礎(chǔ)網(wǎng)絡(luò)支撐和保障。

[1]賀安榮.利用虛擬化技術(shù)實現(xiàn)應(yīng)用安全隔離訪問[J].中國交通信息化，2013，6：124-125

[2]黃向農(nóng)，趙瓊，吳煥忠，羅必然.三層MPLS VPN搭建多業(yè)務(wù)校園網(wǎng)[J].中國教育網(wǎng)絡(luò).2014，9：31-33

[3]陳琳.基于MPLS的VPN技術(shù)在數(shù)字化校園中的運用與研究[D]. 焦作：河南理工大學(xué)，2009

[4]徐奇.校園網(wǎng)的信息安全體系與關(guān)鍵技術(shù)研究[D].上海：上海交通大學(xué)，2009

[5]韓來權(quán)，汪晉寬，王興偉.基于可編程路由技術(shù)的MPLS單標(biāo)簽分流傳輸算法[J]. 通信學(xué)報,2014，5：155-159